隸屬于中國(guó)南方電網(wǎng)(YNPG)的云南電網(wǎng)公司創(chuàng)建于 1910 年，致力于滿足中國(guó)云南省居民和鄰國(guó)越南部分地區(qū)的能源需求。2009年，云南電網(wǎng)公司的運(yùn)營(yíng)收入就達(dá)到了393億人民幣（60 億美元），目前該公司還在繼續(xù)擴(kuò)展。據(jù)介紹，近兩年，云南電網(wǎng)投入了 140 億人民幣來構(gòu)建電網(wǎng)，并且對(duì)鄰國(guó)越南的電力銷售量也在不斷增加。

而隨著業(yè)務(wù)的不斷增加，云南電網(wǎng)公司要向云南省 4500 多萬居民輸送電力，因此需要保護(hù) 4000 萬客戶（包括個(gè)人和企業(yè)）的個(gè)人信息，此外，云南電網(wǎng)公司還必須遵從中國(guó)政府針對(duì)數(shù)據(jù)泄露出臺(tái)的嚴(yán)格法規(guī)，這對(duì)云南電網(wǎng)的IT部門來說確實(shí)是一個(gè)不小的壓力。

為了更好的保護(hù)敏感的客戶數(shù)據(jù)，遵守相關(guān)的政策法規(guī)，近期，云南電網(wǎng)開始實(shí)施賽門鐵克的數(shù)據(jù)防泄漏解決方案Symantec Data Loss Prevention，經(jīng)過第一階段的部署，云南電網(wǎng)將數(shù)據(jù)泄露事件減少了 40-50%，而由于減少了數(shù)據(jù)泄露問題，每年讓IT 工作人員節(jié)省了 500個(gè)小時(shí)。

正確選擇 數(shù)據(jù)泄露減少 40%

美國(guó)市場(chǎng)調(diào)研公司 InsightExpress 進(jìn)行的研究指出，新興經(jīng)濟(jì)下的企業(yè)，對(duì)員工的管理不是很完善，而員工對(duì)公司的相關(guān)規(guī)定的執(zhí)行也比較松散，因此更容易出現(xiàn)公司數(shù)據(jù)泄露的情況。該研究指出，在中國(guó)的公司中，42%的員工更改了公司配發(fā)的筆記本電腦的安全設(shè)置。

云南電網(wǎng)擁有 10,000 名員工，其中 4000名擁有訪問敏感客戶信息的權(quán)限，因此該公司面臨數(shù)據(jù)泄露的風(fēng)險(xiǎn)。云南電網(wǎng)公司首席工程師馬文說：“我們經(jīng)歷過很多起牽涉敏感數(shù)據(jù)泄露的事件。數(shù)據(jù)泄露的后果很嚴(yán)重，比如被政府罰款、被提起訴訟以及喪失客戶信任。”

為了防止發(fā)生代價(jià)不菲、后果嚴(yán)重的數(shù)據(jù)泄露事件，云南電網(wǎng)公司在長(zhǎng)達(dá)一年的時(shí)間內(nèi)評(píng)估了各種數(shù)據(jù)泄露防護(hù)解決方案，并對(duì)幾款產(chǎn)品進(jìn)行了測(cè)試。馬先生說：“我們需要一款可以保護(hù)我們敏感數(shù)據(jù)的軟件解決方案。通過對(duì)可以為我們的重要信息提供和實(shí)施安全保障的產(chǎn)品進(jìn)行篩選，包括對(duì)數(shù)據(jù)訪問和分發(fā)功能進(jìn)行考量，我們選擇了Symantec DataLoss Prevention，該產(chǎn)品可以更好地保護(hù)端點(diǎn)上的數(shù)據(jù)。”

云南電網(wǎng)公司的敏感客戶數(shù)據(jù)包括個(gè)人的姓名、地址和身份證號(hào)以及企業(yè)的名稱和地址。為了防止這類信息不會(huì)從公司泄露出去，云南電網(wǎng)公司使用 Symantec DataLoss Prevention 來監(jiān)控網(wǎng)絡(luò)上的數(shù)據(jù)。

馬先生說：“2010 年 11 月部署了Symantec DataLoss Prevention之后，我們就能夠成功監(jiān)控機(jī)密信息，并且絕對(duì)增強(qiáng)了我們的數(shù)據(jù)保護(hù)能力。我們看到數(shù)據(jù)泄露事件減少了40%。”此外，云南電網(wǎng)公司還看到其潛在數(shù)據(jù)泄露風(fēng)險(xiǎn)也有所下降。馬先生說：“通過部署Symantec DataLoss Prevention，我們將數(shù)據(jù)泄露風(fēng)險(xiǎn)降低了50%以上。”

由于云南電網(wǎng)公司能夠更好地監(jiān)控敏感數(shù)據(jù)傳輸，因此能夠更了解其業(yè)務(wù)流程。馬先生說：“賽門鐵克解決方案為我們提供了一個(gè)很好的機(jī)會(huì)，讓我們可以更詳細(xì)地了解我們的系統(tǒng)，進(jìn)而改進(jìn)我們的業(yè)務(wù)流程。我們覺得，我們將能夠更嚴(yán)密地控制敏感信息。

規(guī)范管理  省力又省錢

部署賽門鐵克解決方案之后，云南電網(wǎng)公司能夠就數(shù)據(jù)泄露防護(hù)問題對(duì)員工進(jìn)行教育。馬先生說：“利用Symantec DataLoss Prevention，我們能夠進(jìn)行深入的實(shí)踐培訓(xùn)，針對(duì)數(shù)據(jù)泄露方面的策略以及如何通過賽門鐵克產(chǎn)品遵從這些策略對(duì)員工加以教育。”

因此，在員工對(duì)敏感信息的處理方式上，云南電網(wǎng)公司的收效顯著。馬先生說：“通過更全面的培訓(xùn)，我們員工的數(shù)據(jù)泄露防護(hù)意識(shí)有所提高，因此能夠妥善處理很重要數(shù)據(jù)。成效顯而易見—數(shù)據(jù)泄露事件有所減少。”

通過就數(shù)據(jù)泄露問題對(duì)員工進(jìn)行教育，該公司在糾正不當(dāng)行為方面花費(fèi)的時(shí)間上還得到了大幅的減少。馬先生說：“我們需要警告員工行為違規(guī)的情況有所減少。從而將員工糾正問題的情況減少了 40%。”

因此，IT 員工可以將時(shí)間投入到更具戰(zhàn)略性的項(xiàng)目上。馬先生說：“需要糾正的數(shù)據(jù)泄露問題少了，我們的員工每周可以節(jié)省 10 多個(gè)小時(shí)，現(xiàn)在他們可以將這些時(shí)間用在更重要的項(xiàng)目上。

作為一家政府直屬公司，云南電網(wǎng)公司在數(shù)據(jù)泄露方面受到相關(guān)執(zhí)法機(jī)構(gòu)的直接監(jiān)督審查，大部分內(nèi)部審計(jì)人員每周就要進(jìn)行一次審計(jì)。對(duì)于云南電網(wǎng)這種規(guī)模的公司來說，不遵從會(huì)導(dǎo)致大約100,000元人民幣的罰款。馬先生說：“發(fā)生的數(shù)據(jù)泄露事件越多，我們進(jìn)行的審計(jì)就越頻繁。由于部署了Symantec DataLoss Prevention，我們的數(shù)據(jù)泄露事件有所減少，因此審計(jì)頻率相應(yīng)減少了。”

除此之外，云南電網(wǎng)公司還避免了外部執(zhí)法機(jī)構(gòu)給予的罰款。馬先生說：“政府審計(jì)的結(jié)果非常滿意。我們非常成功地通過了我們的審計(jì)。”

下一步：阻止敏感電子郵件

如今，云南電網(wǎng)公司正在計(jì)劃使用Symantec DataLoss Prevention阻止通過電子郵件發(fā)送敏感信息。馬先生說：“我們還將使用Symantec DataLoss Prevention來阻止敏感信息從其他應(yīng)用程序進(jìn)行分發(fā)。這正是面臨數(shù)據(jù)泄露問題的部門說要做的，包括安全管理人員和通信人員。”

云南電網(wǎng)公司計(jì)劃今后還要使用賽門鐵克標(biāo)準(zhǔn)支持服務(wù)以及賽門鐵克教育服務(wù)。馬先生說：“賽門鐵克標(biāo)準(zhǔn)支持服務(wù)和賽門鐵克教育服務(wù)可以幫助我們的員工更好地管理數(shù)據(jù)泄露防護(hù)。

使用賽門鐵克解決方案，云南電網(wǎng)公司深信不僅其數(shù)據(jù)可以受到保護(hù)，而且數(shù)據(jù)泄露也可以降到最低。馬先生說：“Symantec DataLoss Prevention可以幫助我們遵從法規(guī)。它還為我們提供了全面的信息，以便將來進(jìn)行更大規(guī)模的系統(tǒng)部署。”